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Piratage des cartes NFC : le plan de 
crise secret des banques françaises 


Alors qu'elles ont toujours minimisé le risque réel du piratage des cartes 
bancaires sans contact, les banques ont constitué un stock d’étuis anti-NFC, 
histoire d’être préparées en cas d’une vague de panique ou d'attaques de grande 
ampleur. 
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pP oser, c'est payé ! », tel est le slogan diffusé il y a 
quelques mois par le Groupement des Cartes 
Bancaires CB pour faire décoller l'usage du paiement sans 
contact. Une alternative aurait pu être : « Poser, c'est 
piraté ! », car la faille de sécurité découverte en 2012 par 
l'expert en sécurité Renaud Lifchitz n'est toujours pas 


comblée (lire encadré ci-dessous). Et cela, pour une bonne 


Le paiement par NFC se fait à 
faible distance avec le lecteur 


raison : c'est impossible à moins de changer l'architecture 


Q agrandir la photo technique sous-jacente, ce qui serait beaucoup trop cher. 


Officiellement, les banques ont toujours nié un risque réel lié à cette faille de sécurité qui 
permet à une personne mal intentionnée de capter à distance le numéro de carte et sa date de 
validité (voire même le nom et l'historique des transactions si la carte n'est pas très récente). 
Pourtant, depuis environ un an, tous les établissements français ont constitué un stock d'étuis 


anti-NFC, à disposition de leurs clients qui en font la demande, et cela gratuitement. 


S'ils s'équipent ainsi, ce n'est pas par plaisir, mais par obligation. « Les banques doivent avoir 
un stock équivalent à 10% du nombre de cartes NFC en circulation. C'est une instruction de la 
Banque de France », explique Eric Granet, directeur général de DSD Image, un fabricant d'étuis 


anti-NFC qui a été approché par plusieurs responsables bancaires. 
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Parc cartes CB sans contact (avrit 2014 LE 


21 160 262 


de cartes sans contact soit 
35,3% du parc CB et une 
augmentation de 7,8% 
en avril. 
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mm > 60% 
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Le nombre de cartes bancaires sans contact ( NFC) en circulation augmente rapidement, mais 

moins que celui des lecteurs chez les commerçants (160.000 en avril 2014, soit 12% du parc 

installé 
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Auprès de la Banque de la France, on minimise l'information. « Ce n'est pas une obligation 
formelle. Cela fait partie de la politique de gestion des risques que chaque banque doit mettre 
en place et justifier », explique le service de presse de l'institution financière. Mais alors 
pourquoi ce seuil de 10 % ? Faut-il comprendre par là qu'un utilisateur a une chance sur dix de 
se faire pirater ? « Absolument pas. C'est simplement un niveau qui apparaît acceptable pour 


faire face aux demandes éventuelles et amorcer la pompe », ajoute le service de presse. 


Les responsables bancaires qui ont contacté les fabricants d'étuis ne s'expriment pas d'une 
manière aussi feutrée que la Banque de France. Selon Eric Granet, ce stock vise à pallier une 
éventuelle vague de panique chez les utilisateurs. Cela pourrait se produire, par exemple, par 
des actions de piratage à grande échelle ou par une surmédiatisation de ce problème. Pour 


l'instant, ni l’un ni l'autre ne s'est produit. 


D'ailleurs, ce n'est pas la seule contre-mesure que les banques ont mise en œuvre. La Banque 
de France les oblige également à disposer d'une procédure pour désactiver le NFC à la 
demande des clients. Pour une banque, cette option est à éviter absolument. D'une part, cela 
reviendrait à faire baisser le parc d'utilisateurs NFC et donc les chances de voir ce marché 
décoller enfin. D'autre part, c'est assez coûteux. « Les agences ne disposent pas des outils 
nécessaires pour faire ce genre de manipulation. Elles seraient donc contraintes d'envoyer la 
carte du client dans des ateliers dits de personnalisation. Le coût de l'opération est autour de 


10 euros par carte », explique Nicolas Kerschenbaum, expert en sécurité chez Lexsi. 


Fournir gratuitement un étui anti-NFC en cas de problème apparait donc comme le moindre mal. 
L'usage du NFC reste toujours possible, et c'est beaucoup moins cher que la désactivation. Le 


prix d'un étui anti-NFC varie de 15 à 50 centimes l'unité. Le calcul est donc vite fait. 
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Un exemple d'étui anti-NFC délivré par une banque française. L'intérieur est pourvu d'un film 
autocollant qui bloque les ondes. 
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Mais les étuis anti-NFC, permettent-ils de lutter réellement contre le piratage ? « C'est 
efficace. Cela revient à loger la carte bancaire dans une cage Faraday qui bloque les ondes. 
En revanche, on n'est pas protégé au moment du paiement, car il faut alors sortir la carte de 


l'étui >, explique Nicolas Kerschenbaum. 


En se positionnant à proximité d'une caisse, un pirate bien outillé pourrait par exemple 
siphonner tous les clients qui passent. « Un investissement de 300 euros est suffisant pour 
fabriquer un dispositif permettant d'aspirer les données d'une carte à quelques mètres », 
précise l'expert en sécurité. Contrairement à ce qu'affirme le Groupement des Cartes Bancaires 


CB, un tel piratage ne serait donc pas très difficile à réaliser. 


Pour autant, force est de constater que - pour l'instant - peu d'histoires de piratage NFC sont 
connues à ce jour. « Il y a eu un cas avec un dispositif posé sur un distributeur de banques, 
et c'est à peu près tout. Il faut dire que le piratage par NFC ne laisse aucune trace. Il donc 
très difficile de prouver, à postériori, qu'une fraude trouve son origine dans un vol de données 
par NFC. Par ailleurs, pour les pirates, le fishing reste quand même une technique plus 
confortable et plus économique pour voler des numéros de carte : il suffit de lancer des 
emailing par des botnet, tout se fait à distance et de manière anonyme », poursuit Nicolas 


Kerschenbaum. 


Conclusion : il faut être conscient des risques liés au paiement sans contact, mais ce n'est pas 
la peine de paniquer pour autant. Les personnes très sensibles à la sécurité sont invitées à 
faire désactiver cette fonction, ou alors de se procurer un étui ou un portefeuille anti-NFC, ce 


qui permet quand même de limiter l'exposition au risque. 


La faille NFC des cartes bancaires, c’est quoi ? 


Depuis quelques années, les cartes bancaires disposent, par défaut, d’une fonction de paiement sans 
contact par NFC. Malheureusement, le standard technique retenu par les banques fait que la 
communication entre la carte et le lecteur se fait de manière non chiffrée et non authentifiée. Il est 
donc relativement simple, pour un pirate, d'interroger la carte et de récupérer le numéro de carte et sa 
date de validité. Dans certains pays, ces informations sont suffisantes pour effectuer des achats par 
Internet. 


Dans une première version de cette technologie, le pirate pouvait également récupérer le nom de la 
personne, ainsi qu'un historique des transactions. Dans les nouvelles cartes, ces données ne sont plus 
accessibles, suite à la plainte de la CNIL. 
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La Cnil enquête sur la sécurité des cartes sans contact NFC, le 22/05/2012 
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